Настройка источников событий тенанта

Для настройки источников событий используется страница Параметры → Источники событий. Для работы с этой страницей необходимо перейти в режим Управление данными.

Страница Параметры → Источники событий

В Kaspersky CyberTrace регулярные выражения и правила нормализации событий сгруппированы по источникам событий. Регулярные выражения и правила нормализации событий, не относящиеся к какому-либо определенному источнику событий, группируются под источником событий default. Все регулярные выражения из источника событий default копируются в новый источник событий. Для каждого источника событий должно быть задано хотя бы одно регулярное выражение. Источники событий (кроме default) можно добавлять и удалять, а также изменять их свойства. Источники событий также можно удалять, кроме источника событий default.

На странице Источники событий отображаются все источники событий, определенные в конфигурационном файле Kaspersky CyberTrace Service.

Добавление источника событий

Чтобы добавить источник событий, выберите следующие действия:

1. Нажмите на кнопку Добавить источник событий.

   Запустится мастер Добавление источника событий.

   

   Мастер Добавление источника событий. Шаг 1

2. Задайте следующие параметры нового источника событий:
   • Идентификатор источника

     Имя источника событий. Должно быть уникальным среди используемых имен источников событий. В имени разрешены следующие символы: латинские буквы, цифры, дефис (-), точка (.) и знак подчеркивания (_).

   • Тип

     Можно выбрать один из следующих вариантов:

     • IP-адрес

       IP-адрес устройства, выдающего события, для которого необходимо добавить правила парсинга.

       Поддерживаются адреса IPv4 и IPv6.

     • Имя хоста

       Имя хоста устройства, выдающего события.

       Значение должно совпадать со значением в поле HOSTNAME входящих событий syslog от этого источника событий.

     • Регулярное выражение

       Регулярное выражение, с которым будет сопоставляться источник в событиях, получаемых Kaspersky CyberTrace. Это регулярное выражение должно быть оптимизированным.

3. Нажмите на кнопку Далее.

   Если данные, введенные на предыдущем шаге, верны, откроется форма для задания регулярных выражений и правил нормализации событий (см. подраздел «Форма изменения свойств источника событий» ниже).

   Все регулярные выражения из источника событий default копируются в новый источник событий. Kaspersky CyberTrace попытается получить данные из полученных событий с использованием скопированных регулярных выражений. Рекомендуется продолжать сбор событий в течение некоторого времени, необходимого для отображения данных в окне мастера.

   

   Мастер Добавление источника событий. Шаг 2

4. На основе оценки данных в окне мастера задайте регулярные выражения и правила нормализации событий, затем нажмите кнопку Добавить.

   Для правил нормализации включите переключатель Применять правила нормализации. В противном случае правила нормализации не будут связаны с новым источником событий.

Если введенные свойства источника событий корректны, создается новый источник событий.

Изменение источника событий

Чтобы изменить источник событий, выполните одно из следующих действий:

• Основные параметры источника событий (имя, тип и значение) можно изменить на странице Источники событий.

  Основные параметры источника событий По умолчанию изменить невозможно.

• Чтобы изменить правила нормализации событий и регулярные выражения, заданные для источника событий, нажмите кнопку (Изменить) рядом с соответствующим источником событий. Открывается форма изменения свойств источника событий (см. подраздел «Форма изменения свойств источника событий» ниже).

Форма изменения свойств источника событий

Форма изменения свойств источника событий (правил нормализации событий и регулярных выражений) разделена на верхнюю и нижнюю области. В верхней области отображаются события и выделяются подстроки, извлеченные с использованием выбранного регулярного выражения. В нижней области две вкладки: Правила нормализации и Регулярные выражения

При открытии формы изменения свойств источника событий начинается сбор событий, выдаваемых источником событий. Эти события обрабатываются в соответствии с правилами нормализации, а результат отображается в верхней части формы.

Если указано имя хоста источника событий, но из входящих событий не извлекается поле HOSTNAME, события не отображаются. Чтобы решить эту проблему, укажите IP-адрес или регулярное выражение источника событий или измените формат событий.

Сбор поступающих событий в реальном времени можно приостановить, возобновить или перезапустить. При перезапуске сбора входящих событий текстовое поле, в котором отображаются события, очищается. Это текстовое поле может содержать до 100 строк. По мере поступления новых данных старые данные удаляются.

Настройка правил нормализации событий

В нижней области формы изменения свойств источника событий выберите вкладку Правила нормализации, чтобы добавить, удалить или изменить правила нормализации, которые будут применяться к входящим событиям, удовлетворяющим условиям источника событий. Можно указать, какие последовательности символов должны заменяться другими (правила замены) и какие последовательности символов должны использоваться для идентификации событий, которые следует игнорировать (правил игнорирования). При выключенном переключателе Применять правила нормализации все элементы интерфейса для задания правил нормализации отключаются, и правила нормализации для настраиваемого источника событий не сохраняются.

В правилах замены не следует указывать символ новой строки (\n). Для разделения составных входящих событий на отдельные события используется элемент InputSettings > EventDelimiter конфигурационного файла Kaspersky CyberTrace Service.

Для создаваемого источника событий форма на вкладке Правила нормализации изначально заполняется правилами нормализации, заданными для источника событий default.

Настройка регулярных выражений

В нижней части формы изменения свойств источника событий выберите вкладку Регулярные выражения, чтобы добавить, удалить или изменить регулярные выражения, которые будут применяться к входящим событиям, удовлетворяющим условиям источника событий. Для создаваемого источника событий изначально форма на вкладке Регулярные выражения заполняется регулярными выражениями, заданными для источника событий default, которые извлекают по крайней мере некоторые данные из отображаемых событий.

У регулярных выражений есть следующие свойства:

• Тип индикатора

  Тип данных, извлекаемых из события. Можно выбрать один из следующих типов индикатора:

  • URL
  • MD5
  • SHA1
  • SHA256
  • HASH
  • IP
  • DOMAIN
  • CONTEXT
• Имя регулярного выражения

  Имена регулярных выражений, относящиеся к одному и тому же источнику событий, не должны повторяться.

• Само регулярное выражение

  Регулярное выражение, используемое для извлечения требуемого значения из события.

• Флажок Извлечь все

  Если этот флажок снят, регулярное выражение извлекает только первое успешно сопоставленное значение. Если этот флажок установлен, регулярное выражение извлекает все успешно сопоставленные значения.

• Правила конкатенации

  Можно задать способ объединения частей извлеченных данных в единое значение. (Подробнее о составных значениях)

  

  Настройка регулярных выражений и их свойств

Можно выделить значения, соответствующие регулярным выражениям, указанным для источника событий. Щелкните внутри текстового поля, содержащего регулярное выражение, которое требуется выделить.

Удаление источника событий

Чтобы удалить источник событий, выберите следующие действия:

1. Нажмите на кнопку (Удалить) рядом с источником событий, который требуется удалить.
2. В открывшемся окне подтверждения нажмите кнопку Удалить.

Удаленный источник событий исключается из списка источников событий.

В начало